La sécurité : le parent pauvre des entreprises
Si vous suivez de près l’actualité dite high-tech, vous constaterez que de nombreuses très grosses entreprises subissent des attaques informatiques, attaques exploitant des failles de sécurité, les dites failles étant parfois béantes.
Cet état de fait amène naturellement à la question suivante : pourquoi les grosses entreprises ne se donnent-elles pas les moyens d’avoir des infrastructures sécurisées et à jour ? A cette question, il est possible d’entrevoir deux réponses possibles.
La première est une question de coût. Si le marketing et la communication se taillent la part du lion en terme de de budget annuel, frôlant bien souvent les 40%, la sécurité dispose d’un budget estimé à 0,5% à 5% maximum. Dans cette estimation, il faut inclure une personne dédiée à temps plein lorsque ce n’est pas un prestataire extérieur. Dans l’hypothèse d’une personne dont la fonction principale est de s’intéresser à la sécurité, elle cumule en réalité le poste de webmaster, de graphiste, de community manager. De ce fait, elle ne peut matériellement pas être à plein temps sur la sécurité puisque les entreprises ne veulent pas consacrer plus de budget à la question de la sécurité. Dans le cas où la mission de sécurité a été déléguée à un prestataire extérieur, il est trop souvent fait appel à ce dernier après la bataille. Peu d’audits de sécurité sont réalisées, les outils et protocoles de sécurité sont trop peu souvent appliqués. Au-delà de l’aspect financier s’ajoute l’aspect formation. Peu de gens sont formés à la sécurité. Ainsi, il est tout à fait banal de croiser des personnes qui s’occupent de sites réalisant des transactions financières qui utilisent des protocoles de transfert non sécurisés. Jusqu’à l’année dernière, la plupart des formations en informatique n’incluaient même pas de formations dédiées à la sécurité dans le cursus. D’un côté des entreprises qui ne s’y intéressent pas et de l’autre, des gens qui sont compétents qui manquent de perspectives en France, cela donne une pénurie de compétences.
La seconde raison tient dans des considérations intellectuelles : peu de gens s’y intéressent, peu saisissent l’importance de cette question. Certaines entreprises ne réalisent même pas l’importance réelle des attaques informatiques. Cela commence à devenir inquiétant ou intéressant que lorsque la sécurité a déjà été compromise et parfois, de façon irrémédiable. Si les petites entreprises sont touchées, il est possible de trouver une excuse dans les aspects financiers évoqués précédemment. Mais lorsque ce sont de grandes entreprises, c’est déjà moins excusable. Un client qui a été lésé par une entreprise dont la sécurité a été défaillante ne reviendra plus.
Il est toujours délicieux de voir que certaines entreprises vendant de la sécurité informatique sont parfois les premières à ne pas appliquer les protocoles de sécurité. Cela va de la mise en ligne d’un site avec un CMS non patché à des consignes quant à la confidentialité des informations non appliquées.
Ce qui pourrait changer éventuellement la donne serait que des clients, des usagers, des personnes qui ne sont pas du monde de la sécurité informatique se retournent contre les infrastructures qui n’ont pas suffisamment sécurisées leurs systèmes. Car si un dommage se produit – au hasard des coordonnées bancaires ou autres informations personnelles – s’échappent dans la nature, il est évident pour tous que celui qui aura exploité la faille de sécurité et mis ces informations dans la nature sera responsable. Quid de celui qui n’a pas fait ce qu’il fallait quand il le fallait pour que ce type d’évènement ne se produise pas ?
Curieusement, les médias ne relatent pas d’affaires de personnes qui se seraient retournées contre certaines entreprises alors qu’il y a un véritable dommage. Il est bien évident que le cracker qui a profité de la faille n’est pas dénué de toute responsabilité. Mais si on fait l’analogie suivante : vous partez de chez vous en laissant la porte grande ouverte avec un petit mot dans votre hall d’immeuble le signalant. Vous entrez chez vous le soir et vous constatez que votre appartement a été vidé et/ou que des squatteurs s’y sont installés. Qui est responsable ?
Il est évident qu’il est difficile de suivre de très près les évolutions en matière de sécurité informatique. Mais il ne faut pas que cela devienne une excuse pour laisser des portes grandes ouvertes.